一、政策形势

1、人民银行等七部门联合印发《推动数字金融高质量发展行动方案》

11月27日，中国人民银行、国家发展改革委、工业和信息化部、金融监管总局、中国证监会、国家数据局、国家外汇局等七部门联合印发《推动数字金融高质量发展行动方案》。《行动方案》提出，要完善数字金融治理体系，强化数字金融风险防范，加强数据和网络安全防护，加强数字金融业务监管，提升金融监管数字化水平，健全金融消费者保护机制。

https://mp.weixin.qq.com/s/xHrG8gM6-4AbnCSxmJilRg

2、《湖南省加强数据资产管理工作方案》发布

11月14日，湖南省人民政府办公厅印发《湖南省加强数据资产管理工作方案》。《工作方案》主要聚焦公共数据资产，从工作目标、工作任务和保证措施等三方面提出具体要求，推进数据资产全过程管理合规化、标准化、增值化。工作任务从数据资产管理机制、开发利用、协同共治、开展试点、风险防控等五方面18条内容，对数据资产管理进行引导规范。要求加强数据资产风险防控，建立数据资产安全管理机制，压实数据安全责任主体。

https://mp.weixin.qq.com/s/SkKEzgqPD8tOZ7w4VVG_jQ

3、国家数据局印发《可信数据空间发展行动计划（2024—2028年）》

11月23日，国家数据局印发《可信数据空间发展行动计划(2024—2028年)》。《行动计划》提出到2028年，可信数据空间运营、技术、生态、标准、安全等体系取得突破，建成100个以上可信数据空间，基本建成广泛互联、资源集聚、生态繁荣、价值共创、治理有序的可信数据空间网络。其中，要求可信数据空间运营者建设“可信管控能力”，需支持对空间内主体身份、数据资源、产品服务等开展可信认证，支持对数据流通利用全过程动态管控，支持实时存证和结果追溯。

https://mp.weixin.qq.com/s/ttFUi9UQbvR0OCucX09hWw

4、四部门发布《关于开展“清朗·网络平台算法典型问题治理”专项行动的通知》

11月24日，中央网络安全和信息化委员会办公室秘书局、工业和信息化部办公厅、公安部办公厅、国家市场监督管理总局办公厅发布《关于开展“清朗·网络平台算法典型问题治理”专项行动的通知》。其中，主要任务6 落实算法安全主体责任。健全算法机制机理审核、数据安全的管理制度和技术措施。确保算法的训练数据具有合法来源，及时检测修复代码安全漏洞和算法逻辑缺陷，定期对算法模型的可用性、可控性、可解释性以及数据处理、模型训练、部署运行等环节开展安全评估。

https://mp.weixin.qq.com/s/J73t1h2JlQjqL06KPVnP0g

5、国家数据局 《国家数据基础设施建设指引(征求意见稿)》公开征求意见

11月22日，国家数据局会同国家发展改革委、工业和信息化部，立足当前发展实际，组织起草《国家数据基础设施建设指引(征求意见稿)》，向社会公开征求意见。文件要求：

1）数据采集、汇聚、传输、加工、流通、利用、运营等多样化活动，涉及多方主体、多个环节，需要在开放环境下对数据进行整体、动态保护。国家数据基础设施需要构建标准化、多层次、全方位的安全防护框架，推动安全防护由静态保护向动态保护、由边界安全向内生安全、由封闭环境保护向开放环境保护转变，形成贯穿数据全生命周期各环节的动态安全防护能力，系统保障数据基础设施相关的网络、算力、数据安全。

2）打造网络和数据安全攻防演习靶场，推动国家枢纽节点地区定期开展网络和数据安全攻防演习。建设算力网安全应用技术试验场。强化国家枢纽节点自主防护能力，统一应急处置、统一安全监测、统一运行监控，构筑全生命周期的安全管控措施。

3）在国家数据基础设施安全保障层面，实现可信接入、安全互联、跨域管控和全栈防护等安全管理，建立网络安全风险和威胁的动态发现、实时告警、全面分析、协同处置、跨域追溯和态势掌控能力，提供芯片、软件、硬件、协议等内置后门、漏洞安全威胁的内生防护能力。加强对合作伙伴、运维人员、平台用户等数据安全内部风险的防范应对。加强对入侵渗透、拒绝服务、数据窃取、勒索投毒等外部威胁的应急响应。

4）在数据流通利用安全层面，综合利用隐私保护计算、区块链、数据使用控制等技术手段，保证数据的可信采集、加密传输、可靠存储、受控交换共享、销毁确认及存证溯源等，规避数据隐私泄露、违规滥用等风险。加强算法、模型、数据的安全审计，增强模型鲁棒性和安全性，保证高价值、高敏感数据“可用不可见”“可控可计量”“可溯可审计”，确保贯穿数据全生命周期各环节安全。

https://mp.weixin.qq.com/s/6wfbF3GGs5yfzA_3V9ER9Q

二、数据安全事件

1、外包商员工窃取公民个人信息！电商平台用户信息遭泄露

11月27日，安徽省合肥市包河区检察院公布今年办理的一起电商平台客服外包商员工利用系统权限窃取公民个人信息并出售牟利案件。此案中，电商企业客服外包商员工利用系统权限，窃取该电商企业酒店业务中的个人住宿信息并出售牟利，多人以侵犯公民个人信息罪分别被判处一年四个月至一年二个月不等。

https://mp.weixin.qq.com/s/9yNNTTk-f15AlvE8XvwM9g

三、技术、产品与市场

1、震惊！AWS云原生防火墙的实际防护率不足1%？

非营利性第三方测试机构CyberRatings最新的评测结果显示，AWS、Microsoft Azure和Google Cloud Platform（GCP）的云原生防火墙在实际应用时的表现令人震惊，均未能达到基本的安全标准。据CyberRatings CEO Vikram Phatak介绍，本次测试专注于已知漏洞利用防护能力。结果显示，AWS防火墙的防护效率仅为0.38%，较今年5月的0.54%还有所下降；GCP的测试表现相对较好，但防护率也仅达50.57%；Azure的防护率为24.14%。这些数据反映出主流的云原生防火墙在基础安全防护能力上普遍存在着缺陷。

https://www.sdxcentral.com/articles/three-cloud-firewalls-fail-to-meet-basic-expectations-a-critical-analysis-by-cyberratings/2024/11/

2、微软再次遭遇大规模宕机事故，波及Office365等多项服务

微软正在全力处理一场影响Microsoft 365多项服务的大规模故障。这次故障主要影响Exchange Online、Microsoft Teams和SharePoint Online等核心服务，同时也波及OneDrive、Purview、Copilot以及Outlook网页版和桌面版等多个应用。据用户反馈，此次故障导致无法通过Outlook网页版、桌面客户端、REST接口和Exchange ActiveSync（EAS）访问Exchange Online。同时，部分用户在使用Microsoft Fabric、Microsoft Bookings和Microsoft Defender for Office 365时也遇到功能障碍。值得注意的是，这已经是微软今年发生的又一次重大服务中断。今年7月，该公司曾遭遇一次持续9小时的全球性服务中断，最终确认是由分布式拒绝服务（DDoS）攻击引起。

https://www.bleepingcomputer.com/news/microsoft/microsoft-365-outage-impacts-exchange-online-teams-sharepoint/

3、工信部发布关于防范Remcos RAT恶意软件新变种的风险提示

近日，工业和信息化部网络安全威胁和漏洞信息共享平台（CSTIS）监测到一种Remcos RAT恶意软件新变种持续活跃，主要以Windows用户为攻击目标，可能导致敏感信息泄露、勒索攻击、业务中断等风险。平台发布风险提示，建议相关单位和用户立即组织排查，及时更新防病毒软件，实施全盘病毒查杀，警惕来源不明的邮件或文档，并可通过保持软件更新，及时修复安全漏洞，定期备份数据等措施，防范网络攻击风险。

https://mp.weixin.qq.com/s/unSjYE6oI-JUhL3U7p4qQw